Laporan Skripsi. Prodi IF IT Telkom Purwokerto

Transkripsi

1 PENDAHULUAN Dalam bab ini menjelaskan mengenai latar belakang, rumusan masalah, batasan masalah, tujuan penelitian, manfaat penelitian, dan ruang lingkup penelitian Latar Belakang Website dapat dengan mudah diakses oleh orang banyak dari manapun dan kapanpun, kemudahan akses ini terkadang membuat banyak orang atau suatu organisasi membangun sistem web server tanpa memperhatikan apakah web server yang dibangun sudah aman atau belum terhadap gangguan. Sehingga sering terjadi gangguan dan merugikan bagi orang atau organisasi tersebut. Salah satu contoh gangguan tersebut adalah berupa serangan Malicious Code atau Malware. Malicious Code atau Malware merupakan jenis serangan yang paling banyak menyerang Website. Berikut contoh kasus peretasan yang merugikan, kasus pertama [1] Di Jember, terdapat kasus cybercrime, terkait dengan peretasan/hacking terhadap situs Presiden Republik Indonesia. Berdasarkan analisis internet forensik yang dilakukan terkait kasus website presidensby.info terdapat beberapa fakta yang mungkin dapat dijadikan sebagai bukti hukum atau memperjelas beberapa bagian kronologis terjadinya kasus ini (sebagai informasi, internet forensik artinya teknik pencarian informasi dengan memanfaatkan artifak-artifak atau informasi/data yang masih tersimpan di internet yang dapat digunakan mengungkap suatu kasus hukum/cybercrime). Pelaku atau yang menggunakan nama alias MJL007 pada kenyataannya tidaklah melakukan pencurian data, dalam aksinya, pelaku melakukan deface atau mengganti tampilan asli halaman utama terhadap website presidensby.info. Pelaku dalam istilahnya hanya mencorat-coret tembok pada laman website presidensby.info dengan bertuliskan Hacked by MJL007 yang artinya diretas oleh MJL007 dengan teks berwarna hijau dan logo Jemberhacker Team berwarna putih. Website presidensby.info sendiri merupakan nama alias dari website presidenri.go.id yang berada pada sebuah alamat VirtualHost yang sama di mesin ber-ip Mesin ini dihosting di jaringan PT Telkom Indonesia. Selain presidensby.info dan presidenri.go.id, sebuah situs dengan VirtualHost lain yang pernah ditempatkan pada webserver mesin ini 1

2 adalah paskibrakaindonesia.com. Dari informasi mirror defacing di zone-h, juga menunjukkan bahwa IP yang statusnya defaced itu bukan IP mesin server yang sebenarnya ( ), tetapi IP Mesin salah satu Server Hosting lain dengan alamat IP Contoh kasus peretasan kedua [2] Kasus Cybercrime Di Indonesia Dan Penanganan Pemerintah Kasus Defacing, Situs milik KPU (Komisi Pemilihan Umum) Defacing oleh hacker. Peristiwa tersebut terjadi pada tanggal 17 April 2004 dengan target situs Tampilan lambang 24 partai diganti dengan nama partai lucu partai jambu, partai cucak rowo, Partai Kolor Ijo dan lainnya. Pelakunya, diketahui, bernama Dani Firmansyah 24 tahun mahasiswa asal Yogyakarta yang kemudian ditangkap Polda Metro Jaya. Motivasi pelaku, hanya ingin menjajal sistem pengamanan di server KPU yang dibeli sangat mahal dan anti bobol katanya saat itu. Tapi ternyata berhasil di tembus oleh Dani. Untuk mengamankan web server dari serangan disarankan pemilik web server melakukan selftest terhadap server atau website mereka sendiri. Melalui selftest ini, para pemilik web akan mengetahui letak kerentanan dari sistem yang ada. Salah satu metode selftest adalah penetration test [3]. Penetration test (pentest) sama dengan aktivitas hacking namun dilakukan secara legal. Penetration test (pentest) merupakan metode yang efektif untuk menguji kerentanan sistem. Dengan demikian penetration test adalah proses mencoba untuk mendapatkan akses ke dalam sebuah sistem tanpa ada pengetahuan tentang username, password dan akses lainnya. Jika fokusnya adalah pada sumber daya komputer, maka contoh dari penetrasi yang sukses akan mendapatkan atau menghancurkan dokumen-dokumen rahasia, basis data dan informasi lain yang dilindungi. Pengujian terhadap aplikasi web dengan metode penetration testing adalah cara yang efektif dalam mengidentifikasi kerentanan sistem. Framework yang dipakai seperti Information Systems Security Assessment Framework (ISSAF), dan Open Web Application Security Project (OWASP) Top 10 Project. ISSAF (Information Systems Security Assessment Framework) metode tersebut bersifat opensource, atau bebas digunakan oleh siapa saja. ISSAF yang dikeluarkan oleh OSSIG (Open System Security Information Group) merupakan kerangka terstruktur yang mengkategorikan penilaian keamanan sistem informasi dalam 2

3 berbagai domain dan rincian kriteria evaluasi atau pengujian khusus untuk masingmasing domain. Sedangkan OWASP singkatan dari Open Web Application Security Project yang dikeluarkan oleh OWASP Foundation sebagai organisasi non-profit atau amal di Amerika Serikat berdiri pada tahun 2004 [3]. PT PLN (persero) Transmisi Bagian Jawa dan Bali sebagai salah satu instansi Pemerintah sudah mempunyai web server sendiri sejak tahun Web server PT PLN (persero) Transmisi Bagian Jawa dan Bali domain yaitu Mengingat isu tentang keamanan web server cukup penting serta kondisi web server pada PT PLN (persero) Transmisi Bagian Jawa dan Bali belum pernah di lakukan riset seperti ini. Dari hasil wawancara singkat penulis dengan salah satu pengelola web server bahwasanya pengelola web server sangat membutuhkan penelitian ini atau dilakukannya pengujian terhadap web server PT PLN (Persero) Transmisi Bagian Jawa dan Bali menggunakan penetration testing, hal ini dilakukan dengan tujuan agar dapat direkomendasikan upaya untuk meminimalisir tingkat kerentanan sistem yang ada Rumusan Masalah Melihat latar belakang diatas maka rumusan masalah dari penelitian ini adalah sebagai berikut : 1. Bagaimana mengidentifikasi kerentanan sistem pada 2. Bagaimana hasil pengujian dan analisis kerentanan menggunakan framework ISSAF dan OWASP? 1.3. Batasan Masalah Adapun batasan masalah pada tugas akhir ini adalah sebagai berikut : 1. Studi yang dilakukan terbatas pada pengujian keamanan web server dengan domain asli 2. Menerapkan framework ISSAF dengan target domain asli situs resmi PT PLN (persero) Transmisi Bagian Jawa dan Bali. 3. Menerapkan framework OWASP dengan target domain asli situs resmi PT PLN (persero) Transmisi Bagian Jawa dan Bali. 4. Seluruh identifikasi pengujian kerentanan pada website menggunakan aplikasi dan dijalankan secara otomatis. 3

4 1.4. Tujuan Penelitian 1. Mengidentifikasi kerentanan sistem pada web server PT PLN (persero) Transmisi Bagian Jawa dan Bali. 2. Mengetahui hasil pengujian dan analisis pengujian keamanan web server menggunakan ISSAF dan OWASP 3. Penelitian ini diharapkan dapat menjadi bahan masukan bagi pihak stakeholder pada PT PLN (persero) Transmisi Bagian Jawa dan Bali untuk mengetahui tingkat kerentanan dari web server yang ada. 4. Dalam upaya meminimalisir tingkat kerentanan sistem yang ada pada web server PT PLN (persero) Transmisi Bagian Jawa dan Bali 1.5. Manfaat Hasil Penelitian Manfaat yang diharapkan dengan adanya penelitian kali ini adalah : 1. Bagi Pemilik webserver PT PLN (Persero) : Membantu mengetahui tingkat kerentanan dari web server yang ada dan saran perbaikan. 2. Bagi IT Telkom Purwokerto : Sebagai bukti nyata bagi kampus bisa mencetak lulusan yang berguna bagi masyarakat dengan memanfaatkan perkembangan teknologi Ruang Lingkup a) Ruang Lingkup Keilmuan Pemanfaatan Aplikasi Web Application Attack and Audit Framework (W3AF) dan aplikasi penetration test lainnya dalam menciptakan suatu kerangka kerja audit untuk membantu mengamankan web. b) Ruang Lingkup Materi Materi dibatasi hanya pada pengujian ketahanan website/web server menggunakan aplikasi, dan dibantu menggunakan framework ISSAF dan OWASP. 4

5 c) Ruang Lingkup Lokasi Lokasi penelitian ini dilaksanakan di Kecamatan Purwokerto Utara Provinsi Jawa Tengah dengan dengan target domain asli d) Ruang Lingkup Waktu Waktu yang digunakan untuk melaksanakan penelitian ini yakni pada Bulan Februari 2017 sampai dengan November e) Ruang Lingkup Pekerjaan Langkah yang dilakukan dalam ruang lingkup pekerjaan yaitu Planning and Preparation, Assessment dan Reporting. 5